DB4403-T 341-2023 虚拟电厂终端授信及安全加密技术规范

CCST47DB4403深圳市市场监督管理局发布IDB4403/T341—2023前言 2规范性引用文件 3术语和定义 4缩略语 5总体目标及要求 47安全加密方式 8安全加密要求 6参考文献 9DB4403/T341—2023前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由深圳市发展和改革委员会提出并归口。本文件起草单位：深圳供电局有限公司、南方电网科学研究院有限责任公司、深圳市科技创新委员会、深圳国家高技术产业创新中心、深圳市建筑科学研究院股份有限公司、深圳特来电新能源有限公司、南京德睿能源研究院有限公司、南方电网电动汽车有限公司、华为数字能源技术有限公司、万帮数字能源股份有限公司、北京科东电力控制系统有限责任公司。本文件主要起草人：程韧俐、索思亮、史军、李江南、王滔、杨帆、周保荣、赵文猛、陈立明、匡晓云、毛田、李蓉、左新兵、李林军、李雨桐、王冰、韩亚宁、刘杰、李勋、葛静、孙务本、牛雷、司宇峰、王国栋。DB4403/T341—20231虚拟电厂终端授信及安全加密技术规范本文件规范了虚拟电厂在终端身份认证及安全加密方面的总体目标及要求、网络安全要求、安全加密方式等技术要求。本文件适用于在虚拟电厂业务中进行安全加密和身份认证的虚拟电厂安全加密网关，虚拟电厂安全加密终端、数字证书系统及终端侧安全防护设备。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T13729—2019远动终端设备GB/T20279信息安全技术网络和终端隔离产品安全技术要求GB/T22239信息安全技术网络安全等级保护基本要求GB/T36572电力监控系统网络安全防护导则GB/T37934信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求DL/T2473.2—2022可调节负荷并网运行与控制技术规范第2部分：网络安全防护GM/T0014—2012数字证书认证系统密码协议规范GM/T0022—2014IPSecVPN技术规范GM/T0024—2014SSLVPN技术规范3术语和定义下列术语和定义适用于本文件。3.1电力监控系统powermonitoringsystem用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等。3.2网络安全networksecurity网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。3.3虚拟电厂virtualpowerplant通过先进通信技术和软件架构，实现地理位置分散的各种分布式负荷的聚合和协调优化，形成虚拟等效的对外功率调节服务，作为一个特殊电厂参与电力市场和电网运行的逻辑实体。3.4DB4403/T341—20232虚拟电厂管理云平台virtualpowerplantmanagementplatform一种基于现有调度控制系统部署的，实现对虚拟电厂统一管理的技术支持系统。3.5可调节负荷adjustableload电力系统中具备技术条件并参与电网调节运行的负荷资源，通过负荷聚合平台接入的负荷资源。3.6直控负荷directcontrolload不经过负荷聚合平台，直接接入虚拟电厂管理云平台并参与电网调节的负荷资源，可接受电网直接调度控制并上报相应的计划申报信息。3.7负荷聚合商loadaggregator将某一区域中各类用电侧负荷实时运行信息汇集，进行统一管控和运营的单位或者部门。3.8负荷聚合平台loadaggregationplatform为满足可调负荷参与电网调节运行和市场运营业务需求，由负荷聚合商在本地或云端部署的自动化信息系统，3.9虚拟专用网络virtualprivatenetwork一种在公共通信基础网络上通过逻辑方式隔离出来的网络。它是一组封闭的网络，即使通信与开放系统或其他VPN共享同一主干网络，其通信也是保持分离的。3.10虚拟电厂安全加密终端virtualpowerplantsecurityencryptionterminal一种部署于负荷聚合商或可调节负荷的终端设备，负荷聚合商或可调节负荷可通过虚拟电厂安全加密终端接入虚拟电厂管理云平台，实现信息交换。3.11终端侧安全防护设备securityprotectionequipmentofterminalside以独立硬件设备、嵌入式芯片或软件SDK等形式部署于虚拟电厂安全加密终端侧，为业务数据提供数据加密、身份认证等网络安全防护措施。3.12虚拟电厂数字证书系统digitalcertificatesystemofvirtualpowerplant对虚拟电厂安全加密终端侧安全防护设备的数字证书进行全生命周期的过程管理，实现证书签发、证书管理、密钥管理等功能。4缩略语下列缩略语适用于本文件。DB4403/T341—202334G：第四代移动通信技术（4th-Generation）5G：第五代移动通信技术（5th-Generation）CA：证书授权（CertificateAuthority）是由认证机构服务者签发，是数字签名的技术基础保障CRL：数字证书撤销列表（CertificateRevocationList），记录所有在原定失效日期到达之被撤销的数字证书，供数字证书使用方在验证对方数字证书时查询使用IPSec：IP安全协议（InternetProtocolSecurity）OTA：空中下载技术（OvertheAirTechnology）PKI：公钥基础设施（PublicKeyInfrastructure）是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书PKCS#10：公钥加密标准#10（ThePublic-KeyCryptographyStandards#10）是描述证书请求的语法SSL：安全套接层（SecureSocketLayer）TLS：传输层安全(TransportLayerSecurity)VPN：虚拟专用网（VirtualPrivateNetwork）5总体目标及要求5.1总体目标虚拟电厂终端授信及安全加密的总体目标是抵御黑客、恶意代码等通过各种形式发起的恶意破坏、攻击，以及其它非法操作，防止系统瘫痪和失控，并由此导致的虚拟电厂系统及可调节负荷一次系统事故。5.2总体要求5.2.1应满足GB/T22239、GB/T36572、DL/T2473.2—2022等国家及行业技术标准相关要求。5.2.2虚拟电厂终端授信及安全加密相关设备应采用制造和供应链环节无恶意操纵的硬件，应采用经过安全验证且定期更新的操作系统和数据库，应采用密码算法确保敏感数据的存储和传输安全。5.2.3虚拟电厂终端授信及安全加密相关设备应具备安全配置和防护能力，包括通信安全、访问控制、入侵防范和数据安全等方面。5.3网络架构虚拟电厂终端授信及安全加密的总体网络架构如图1所示。DB4403/T341—20234电电网侧用户侧生产控制大区业务虚拟电厂管理云平台管理信息大区业务虚拟电厂安全加密网关5G/4G5G/4GAPN本地部署隔离本地部署隔离图1总体网络架构6网络安全要求6.1安全分区6.1.1根据电力监控系统的网络安全要求，参与电网运行的负荷聚合平台应按照业务功能划分相应的安全分区，宜划分为生产控制大区、管理信息大区和互联网区等，当负荷聚合平台包含有实时控制业务模块或未来将建设实时控制功能的业务系统，应划分生产控制大区和管理信息大区。6.1.2生产控制大区部署与电网侧实时调控功能相对应的功能模块，涉及负荷聚合平台实时监控与采集、生产控制等相关功能。管理信息大区部署与电网侧管理类功能相对应的功能模块，涉及负荷聚合平台邀约管理，计划申报等相关功能。互联网区用于负荷聚合平台对下与各类可调节负荷连接，完成数据采集与交互相关功能。对于公有云部署的负荷聚合平台应根据功能划分相应的安全区域，不同负荷聚合平台应部署于公有云平台的不同区域。6.2网络专用6.2.1负荷聚合平台或可调节负荷应通过虚拟电厂安全加密终端接入虚拟电厂管理云平台。当接入云平台生产控制大区时应通过光纤、5G切片网络进行业务数据传输，当接入云平台管理信息大区时应通过5G切片、4G、APN等通信网络进行信息交互。6.2.2对部分负荷聚合规模较大，其负荷波动可能直接影响电网安全稳定运行的负荷聚合平台，宜进一步在聚合平台与虚拟电厂安全加密终端的边界处部署安全隔离装置，隔离装置应满足GB∕T37934或GB/T20279的要求。6.3横向隔离DB4403/T341—202356.3.1非公有云部署的负荷聚合平台在生产控制大区和管理信息大区之间应设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离，管理信息大区和互联网区之间应采用逻辑隔离措施。6.3.2公有云部署的负荷聚合平台不同安全区域之间应采取隔离措施，隔离强度应当接近或达到相应的隔离水平。6.4纵向认证6.4.1通过虚拟电厂安全加密终端接入虚拟电厂管理云平台生产控制大区时，应采用国密IPSec协议或国密SSL/TLS等纵向加密认证措施实现数据传输的加密和身份认证功能。6.4.2通过虚拟电厂安全加密终端接入虚拟电厂管理云平台管理信息大区时，应采用国密算法进行身份认证、访问控制和数据加密等安全防护措施，确保邀约类业务的安全性。6.4.3负荷聚合平台与可调节负荷之间的控制业务交互应采取纵向安全加密措施，加密算法应采用国密加密算法。6.5终端本体安全虚拟电厂安全加密终端应实现自身的安全，应采用安全、可控、可靠的软硬件产品。6.6操作系统和基础软件安全操作系统、数据库、中间件等基础软件应防范存在恶意后门，应合理配置、启用安全策略。操作系统和基础软件应仅安装运行需要的组件和应用程序，并及时升级安全补丁，补丁更新前应进行充分的测试。6.7可信安全免疫在虚拟电厂安全加密终端内部，宜逐步采用基于可信计算的安全免疫防护技术，实现对病毒木马等恶意代码的安全免疫。涉及密码技术的安全设备或防护措施，均应采用国产商用密码技术，使用国家商用密码算法（SM1/SM2/SM3/SM4等）。7安全加密方式7.1终端侧安全防护设备分类7.1.1加密实现方式负荷聚合平台或可调节负荷通过虚拟电厂安全加密终端接入虚拟电厂管理云平台，其中终端侧安全防护设备的加密实现方式具体分为以下三种模式：a)外置硬件安全加密装置；b)嵌入式集成安全加密芯片；c)采用软件加密SDK，通过接口调用方式实现安全加密。DB4403/T341—202367.1.2外置硬件安全加密装置外置硬件安全加密装置的要求如下：a)硬件安全加密装置与虚拟电厂安全加密终端的通信接口可采用USB、网口、CAN或RS485；b)应具备密钥安全存储功能；c)应具备离线、在线更新密钥功能；d)应具备国密对称加密和国密非对称加密算法；e)应能存储数字证书；f)应通过国家密码管理局认可检测机构的认证检测，并取得商用密码产品认证证书。7.1.3安全加密芯片安全加密芯片的要求如下：a)安全加密芯片的通信接口宜采用SPI接口；b)应具备密钥安全存储功能；c)应具备离线、在线更新密钥功能；d)应具备国密对称加密和国密非对称加密算法；e)应能够存储数字证书；f)应满足国密二级要求；g)应具备生成安全真实的随机数；h)应具备Flash和RAM防读取/篡改、芯片防破解。7.1.4软件加密SDK软件加密SDK的要求如下：a)应支持国密算法SM2、SM3及SM4；b)应能够安全存储密钥；c)应具备更新密钥功能；d)应具备国密数字签名功能。7.2加解密算法要求加解密算法要求如下：a)身份认证宜采用国密SM2数字签名算法；b)业务报文加密宜采用国密SM1或SM4对称加密算法；c)在线更新密钥时，密钥应加密后进行传输。7.3通信协议要求通信协议要求如下：a)对于HTTP业务通信应采用HTTPS协议进行传输加密保护；b)业务数据报文应采用身份认证、加密等安全防护措施进行传输；c)对于OTA业务通信宜采用国密非对称算法生成的数字签名。8安全加密要求8.1安全性要求DB4403/T341—20237安全性要求如下：a)依据GM/T0022—2014或GM/T0024—2014；b)能有效防止各类网络攻击，保证设备自身及终端安全；c)设备密钥应由设备自身产生，其公钥应能被导出，其私钥应有安全保护措施。8.2功能要求外置硬件安全加密装置应提供日志记录功能，如系统开机、算法启动自检、随机数启动检测、随机数周期性检测、密钥协商等事件记录日志等，日志的记录及查看由厂家自定义实现。8.2.2本地配置终端侧安全防护设备厂商应提供本地配置工具或配置脚本，用于导出证书请求、导入虚拟电厂数字证书系统签发的证书压缩包文件，以及配置终端侧安全防护设备系统参数。外置硬件安全加密装置应具有开机自检功能，能清晰明确地指示故障或状态。8.3装置稳定性终端侧安全防护设备应满足GB/T13729—2019中3.9的要求，装置连续运行72小时。8.4数字证书签发要求8.4.1安全性要求虚拟电厂数字证书系统的安全性要求如下：a)依据GM/T0014—2012及其相关安全技术规范；b)应将管理角色和业务操作角色分开，每个角色执行系统的一部分功能，相互独立、相互制约，管理员有独立的安全认证机制，有效保证系统的安全性；c)支持国家密码主管部门批准的算法SM1、SM2、SM3、SM4；d)采用目前先进成熟的PKI密码技术，数字证书的生成、发放、管理以及密钥的生成、管理应当脱离网络，独立运行；e)具有完善的密钥管理功能，保障密钥的生成、存储、使用、更新、废除、归档、销毁、备份和恢复整个生命周期中的安全；f)应具备密钥、策略和证书等本设备运行配置信息的安全备份和还原功能，确保终端侧安全防护设备在紧急故障情况下的业务连续性保障。8.4.2功能要求虚拟电厂数字证书系统的功能要求如下：a)支持SM2双证书（加密证书/签名证书）、双中心（CA认证中心/密钥管理中心）；b)提供数字证书申请、签发、下载、更新、冻结、解冻、作废等功能，为数字证书提供完善的生命周期管理支持；c)支持CRL的查询及下载，CRL使用SM3算法签名；DB4403/T341—20238d)支持多种数字证书模板，用户可以通过证书模板管理功能灵活配置各种算法、用途和格式的数字证书；e)提供事件级审计功能，对涉及系统安